Hoe maak je je Website PCI DSS Compliant

voor kleine bedrijven die producten online willen verkopen, kunnen de regelgevende hoepels waar je doorheen moet springen als je betaalkaarten nodig hebt, enigszins ontmoedigend zijn. Echter, als je niet voldoen, dan riskeer je een flinke boete en zelfs met de mogelijkheid om kaarten genomen uit de buurt van het bedrijf.

comic of credit card payment handover

kaartbetalingen online worden gereguleerd door de Payment Card Industry Data Security Standards (PCI DSS) en er zijn 12 vereisten voor naleving die onder de volgende samenvattende rubrieken vallen:

  • een beveiligd bedrijfsnetwerk opbouwen en onderhouden
  • gegevens van kaarthouders beschermen
  • een programma voor kwetsbaarheidsbeheer onderhouden
  • sterke Toegangscontrole implementeren
  • bedrijfsnetwerken regelmatig controleren en testen
  • een beleid voor informatiebeveiliging handhaven

het is de moeite waard erop te wijzen dat u het nalevingsproces aanzienlijk kunt vereenvoudigen door ervoor te zorgen dat u geen gegevens van kaarthouders opslaat of opslaat. Dit betekent dat in plaats daarvan, je moet een kaartlezer of point-of-sale (POS) processor die niet de informatie over bedrijfssystemen te behouden gebruiken. U kunt ook een betaalgateway gebruiken, zoals die van PayPal en Stripe, maar u moet zich ervan bewust zijn dat de verantwoordelijkheid voor de gegevens van uw klant bij u blijft. Welke optie je ook kiest, je moet er eerst voor zorgen dat je controleert of het gebruik ervan betekent dat je compliant bent.

comic of to do list

bijvoorbeeld, zelfs als u een betalingsverwerker gebruikt, moet uw site nog steeds veilig zijn als en wanneer betalingsgegevens worden ingevoerd en verzonden. Dit betekent dat als zodanig uw webserver moet voldoen en uw site moet Secure Socket Layer (SSL) encryptie gebruiken. U dient bij uw provider te controleren of u deze gegevens op hun beveiligde systemen kunt opslaan als u betalingsinformatie voor toekomstige betalingen moet bewaren.

1 een beveiligde webhost

bij het kiezen van een host voor uw website moet u ervoor zorgen dat de servers, het hostingplan en de eCommerce-en winkelwagentoepassingen voldoen. U kunt een lijst van gevalideerde betalingsapplicaties vinden op de website van de PCI Raad om u te helpen kiezen en ik zou ook aanraden om een aantal e-commerce forums te raken om te controleren wat anderen zeggen. Het is de moeite waard om erop te wijzen dat als je nieuw bent voor e-commerce, dan goedkope of gratis webhosts zelden goed genoeg zal zijn om naleving te garanderen. Je moet ook overwegen om dedicated hosting over shared te gebruiken, omdat dit betekent dat jij en alleen jij die machine gebruikt. Met shared hosting deel je vaak één machine met meerdere websites en dit maakt compliance moeilijk. Echter, als u kiest voor dedicated of virtual private servers, dan zijn ze veel meer kans om compliant te zijn, zij het een stuk duurder.

comic picture of manager losing money

zorg ervoor dat de host die u kiest u toestaat om PHP en MySQL databases te gebruiken – de meeste doen deze dagen en als u niet zeker bent, dan kunt u altijd geven het hostingbedrijf een oproep om uw behoeften in meer detail te bespreken. Ervoor zorgen dat de server-en sitetransacties veilig zijn voordat u uw site bouwt, bespaart u hartzeer op de lange termijn. Echter, als je echt niet nodig om gegevens op te slaan, dan zou ik u dringend verzoeken om te overwegen het gebruik van een payment gateway die de klant naar een externe, veilige site brengt voordat u om details vraagt.

2 het kiezen van een Winkelwagen

er zijn een enorme hoeveelheid winkelwagentjes om uit te kiezen en als zodanig kan het behoorlijk verwarrend worden als het gaat om het kiezen van het beste voor u. Om ervoor te zorgen dat u zowel uw bedrijf als de gegevens van uw klanten te beschermen, moet u streven naar een die PA DSS (Payment Application Data Security Standard) compliant kiezen . Dit betekent dat de cart-software al een reeks strenge tests heeft ondergaan om ervoor te zorgen dat het gegevens voldoende versleutelt om te beschermen tegen cyberaanvallen tijdens het transport.

op zoek naar betere klantrelaties?

Test Userlike gratis en chat met uw klanten op uw website, Facebook Messenger en Telegram.

nogmaals, als je niet bijzonder technologisch minded, u kunt kiezen voor een gehoste winkelwagen die neemt de shopper van uw site en op zijn eigen die volledig is beveiligd. Met een gehoste winkelwagen worden alle gevoelige gegevens van uw site en de gegevens op een beveiligde server ingevoerd.

3 werknemers en PCI DSS

de veiligheid van uw klantgegevens is uw verantwoordelijkheid en dit betekent dat het belangrijk is dat uw medewerkers begrijpen hoe belangrijk het is voor uw bedrijf dat het veilig wordt gehouden. Met dit in het achterhoofd, alle medewerkers die omgaan met klantgegevens als onderdeel van hun werk moet ervoor zorgen dat ze de regels te volgen.

zorg ervoor dat alle medewerkers die met gegevens omgaan:

  • op de hoogte zijn van de processen die worden gebruikt om gevoelige gegevens te beschermen.
  • bewaar geen klantgegevens op ongeautoriseerde computers of op papier.
  • gebruik sterke wachtwoorden op alle gebruikersaccounts.

bovendien moet u ervoor zorgen dat alle computers, apparaten en servers op het zakelijke netwerk (of die er verbinding mee maken) het volgende hebben::

  • AV-software en up-to-date patches toegepast op veelgebruikte software zoals Windows/OS, Office, Adobe-producten en Java.
  • worden beschermd door een firewall op het netwerk.
  • worden beschermd door een beveiligd wachtwoord en versleuteling op alle netwerkrouters, inclusief draadloos.

voor bedrijven die werknemers toestaan hun eigen apparaten mee te nemen naar het werk, moeten deze worden beheerd met een robuust BYOD-beleid waarin wordt uiteengezet wat van de werknemer wordt verlangd. Als u of zij nog steeds niet zeker weet wat het proces inhoudt, dan kunt u bewustwordingstrainingen volgen via de PCI Raad.

stripverhaal van werknemers die door een telescoop kijken

veiligheid is iets dat veel IT-professionals beschouwen als een probleem dat niet kan worden opgelost door menselijk ingrijpen. Veruit de meeste beveiligingsproblemen die van invloed zijn op het bedrijfsleven worden veroorzaakt door een gebrek aan kennis in de eindgebruiker. Dit betekent dat het vaak moeilijk is om het risico te beperken, omdat de eindgebruiker niet genoeg Weet om te weten dat ze niet op die phishing-link moeten klikken, bijvoorbeeld. In de afgelopen jaren zijn veiligheidsbedreigingen steeds geavanceerder geworden en doen ze er alles aan om detectie te vermijden. Dit wordt nog verergerd door het feit dat phishingpogingen nu vaak zeer gericht zijn om de meest kwetsbare persoon te bereiken om aan te vallen, zoals administratief personeel. Bedreigingen deze dagen worden ondersteund door de enorme hoeveelheid informatie die kan worden verzameld op sociale media over een individu binnen een organisatie voordat een aanval wordt geprobeerd. Dit betekent dat cybercriminelen zijn forearmed met genoeg informatie te klinken alsof de e-mail die ze door te sturen met een kwaadaardige link lijkt te zijn van een vriend of bekende leverancier. Met dit in het achterhoofd is voorlichting over de risico ‘ s van essentieel belang en moet er ook een goed beleid worden gevoerd op het gebied van sociale media en wat gedownload kan worden.

comic picture of worker robbered by internet criminal cybercrime

Link scanners kunnen ook worden geïnstalleerd om ervoor te zorgen dat schadelijke links fysiek niet kunnen worden geklikt, waardoor een groot deel van het risico voor de eindgebruiker wordt weggenomen.

4 PCI DSS niveaus

er zijn vier niveaus van compliance, die afhangen van het aantal kaarttransacties dat u in de loop van een jaar overneemt.

  • niveau 1: voor handelaren die meer dan 6 miljoen Visa – transacties per jaar verwerken-vereist dat u jaarlijks een veiligheidsbeoordeling ter plaatse en een driemaandelijkse netwerk kwetsbaarheidsscan hebt.
  • niveau 2: voor handelaren verwerking tussen 1 miljoen tot 6 miljoen Visa transacties per jaar-on-site security assessment naar eigen goeddunken, je bent ook verplicht om een jaarlijkse zelf-assessment vragenlijst en een driemaandelijkse netwerk kwetsbaarheid scan.
  • niveau 3: voor handelaren die 20.000 tot 1 miljoen Visa e-commerce transacties per jaar verwerken, is jaarlijks een zelfbeoordelingsvragenlijst vereist en een driemaandelijkse netwerk kwetsbaarheidsscan.
  • niveau 4: voor handelaren verwerken minder dan 20.000 Visa e-commerce transacties per jaar en alle andere handelaren verwerken tot 1 miljoen Visa transacties per jaar – self-assessment questionnaire is jaarlijks vereist en een driemaandelijkse netwerk kwetsbaarheid scan.

onthoud-het is een doorlopend proces

veel bedrijven zorgen ervoor dat ze in eerste instantie compliant zijn en vergeten het dan totdat het audittijd is. Helaas leidt dit ertoe dat boetes en verdere controles (die geld kosten) vaker worden uitgevoerd. Het is belangrijk om te onthouden dat compliance een continu proces is en dat het vaak moet worden gecontroleerd, niet net voordat de auditor op het punt staat te verschijnen.

comic picture of worker drowning in files

u moet altijd:

  • Assess – Maak een inventaris van bestaande IT-assets en bedrijfsprocessen voor kaartverwerking, analyseer op kwetsbaarheden terwijl u dat doet en identificeer klantgegevens en waar deze worden bewaard.
  • herstellen – gegevens niet opslaan, tenzij absoluut noodzakelijk en bekende exploits repareren.
  • rapport-compileer en verzend rapporten aan acquiring back-en kaartmerken waarmee u te maken hebt.

er zijn veel dingen te overwegen als het gaat om naleving en veruit de makkelijkste manier voor de kleinere e-commerce bedrijf eigenaar is om een betaling gateway of gehoste winkelwagen te gebruiken. Dit neemt veel van de noodzakelijke stappen weg en neemt veel van het risico weg als het gaat om medewerkers omgaan met betalingen en de veiligheid van uw bedrijfsnetwerk.

dat wil echter niet zeggen dat het de beste oplossing voor u is en dus moet u streven naar veel planning en basiswerk als u van plan bent om betalingen via uw site te nemen en klantgegevens te behouden. Idealiter, je moet voorkomen dat het doen van de laatste en praten met uw payment card processing provider om te zien wat uw opties zijn. Het is niet zo ontmoedigend als het eerst lijkt, maar het betaalt om heel voorzichtig te zijn als veel bedrijven die niet voldoende te beschermen klantgegevens gaan uit het bedrijfsleven na een inbreuk op de gegevens, dankzij de kosten van ervoor te zorgen dat het niet opnieuw gebeuren.

voor de beste resultaten moet u de documentenbibliotheek PCI DSS 3.0 (en hieronder) raadplegen op de website van de PCI-Raad . Laat je niet afschrikken door al het jargon ofwel, een snelle Google kan u helpen om de technische details te begrijpen of u kunt gaan door de help-bestanden op de PCI council website.

Leave a Reply

Het e-mailadres wordt niet gepubliceerd.